Frage:
Warum bieten Websites und Geräte keine gefälschten Logins für Hacker an?
Cromulent
2018-06-01 17:49:54 UTC
view on stackexchange narkive permalink

Ich habe heute Morgen darüber nachgedacht und mich gefragt, warum Websites und Geräte keine gefälschten Logins für Hacker anbieten. Damit meine ich, dass, wenn ein Hacker einige Ihrer Daten herausfindet und versucht, sich auf einer Website anzumelden (zum Beispiel), die Website anzeigt, dass Sie sich erfolgreich angemeldet haben, aber Dummy-Daten anzeigt, die vollständig gefälscht sind.

Auf diese Weise weiß der Hacker nicht, ob die Anmeldedaten korrekt sind oder nicht. Es wird auch Menschen in einer Sicherheitslage schützen. Stellen Sie sich zum Beispiel vor, ein Krimineller hat jemandes Telefon gestohlen und stellt fest, dass er nicht darauf zugreifen kann. Dann richtet er eine Waffe auf den Besitzer, der dann einen Teil seiner Angaben korrekt, einige jedoch falsch eingibt. Das Gerät wird im gefälschten Modus entsperrt, und der Kriminelle glaubt dann, Zugriff zu haben, und beschließt, die Person nicht zu erschießen, weil er seinen Wünschen nachgekommen ist. Aber der Verbrecher weiß nie, dass das, was er sieht, nur ein gefälschter Login ist.

Hat jemand so etwas implementiert? Es scheint mir eine ziemlich gute Idee zu sein.

1) Warum müssen Geräte- / Site-Besitzer etwas tun?Warum können Benutzer dies nicht für sich selbst einrichten?2) Wenn bekannt ist, dass das Gerät / die Site dies tut, versuchen die Angreifer dann nicht zu überprüfen, ob sie echten Zugriff haben?3) Ihr Ansatz überlebt [Kerchoffs Prinzip] nicht (https://en.wikipedia.org/wiki/Kerckhoffs%27s_principle).
Würde dies nicht unter "Sicherheit durch Dunkelheit" fallen - ich glaube, es würde den Eigentümern ehrlich gesagt nur ein falsches Gefühl der Sicherheit geben.
Dies ist für menschliche Hacker beschissen, kann aber für nicht anspruchsvolle Bots anständig funktionieren.Eine Site, die ich verwalte, verwendet gefälschte POST-Übermittlungsformulare, um Spambots zu fangen, und das funktioniert ein bisschen gut.
Wenn es sich um ein bekanntes System handelt, lächelt der Verbrecher einfach, lädt die Waffe und fährt fort: "Richtig, jetzt das echte" - "Es ist!"- "Lügner !"* BANG * Und leider war es so.Ich sehe nicht, welche Sicherheit dies gibt.
Woher weiß die Website, dass der Benutzer ein Hacker ist und nicht der tatsächliche Benutzer?Bezieht sich dies auf Fälle, in denen sich ein (nicht chinesischer) Benutzer aus China anmeldet oder so etwas?
Was ist, wenn ich nur mein Passwort falsch eingebe?Ich möchte nicht in den Fake-Modus eingeloggt werden.Ich möchte wissen, dass ich mein Passwort falsch eingegeben habe.
Wie oft bitten Kriminelle die Opfer, sich mit vorgehaltener Waffe in ihre Konten einzuloggen?Dies klingt nach einem extremen Randfall, der im allgemeinen Fall nur zu unnötiger Verwirrung führen würde.Es ist weitaus wahrscheinlicher, dass ich mein Passwort falsch eingebe (passiert mehrmals am Tag), als dass ich aufgehalten werde (noch nicht passiert).
Dies ist ein [Honigtopf] (https://en.wikipedia.org/wiki/Honeypot_ (Computing))
@SethR: Eigentlich habe ich ein paar Mal in den Nachrichten davon gehört, also passiert es.Ich glaube nicht, dass es sich um Identitätsdiebstahl handelt, sondern darum, dass das Telefon zurückgesetzt und verkauft werden kann.
@Tom.Bowen89 Der Weg um dieses Problem herum wäre ein Sicherheitsbild - ein Symbol wird angezeigt, nachdem Sie sich angemeldet haben, und nur der "echte" Benutzer weiß, ob es das richtige ist.Wenn ich ein Bild einer Katze als Sicherheitsbild auswähle und mich anmelde und einen Schmetterling sehe, weiß ich, dass ich das Passwort falsch eingegeben habe.(Versuchen Sie nicht, ein Argument für den Ansatz des OP im Allgemeinen zu liefern, sondern sprechen Sie nur Ihr spezifisches Anliegen an.)
Dies existiert, [MobileSitter vom Frauenhofer-Institut] (https://www.sit.fraunhofer.de/en/imobilesitter/?cHash=c055727af39b2fb3d6e6e15111b4e2ac&wmc=SM_TW) (nicht verbunden) ist ein mir bekanntes Beispiel.Sie lösen das Problem genau so, wie @dwizum es kommentiert hat, indem sie einen visuellen Hinweis geben (oder Sie merken sich einfach ein Passwort im Passwort-Manager und überprüfen es).
Wie ich weiß, ist dies in einigen Türschlössern implementiert.Es gibt zwei Codes: für den regulären Gebrauch und für das erzwungene Öffnen, die ebenfalls die Tür öffnen, aber die Wachen / die Polizei benachrichtigen.
@SethWhite Das ist einfach, Sie müssen nur überprüfen, ob das böse Bit gesetzt ist https://tools.ietf.org/html/rfc3514
@SethR Natürlich sind Sie einfach nicht wichtig genug: P.
Eigentlich wurde dies umgesetzt.ESET Anti-Theft hat ein zweites Windows-Konto auf meinem Computer erstellt.Es ist entsperrt und wenn ein Hacker den Köder nimmt und darauf klickt, macht ESET ein Foto von ihnen, benachrichtigt mich und beginnt, meinen Computer zu verfolgen.
Verwandte Themen: [Ist es möglich, Brute-Force-Angriffe durch falsch positive Antworten auf fehlgeschlagene Anmeldeversuche unwirksam zu machen?] (Https://security.stackexchange.com/questions/129898/is-it-possible-make-brute-Force-Attacken-unwirksam-durch-Geben-falsch-positiv-ans)
Elf antworten:
Steffen Ullrich
2018-06-01 17:58:39 UTC
view on stackexchange narkive permalink

Auf diese Weise weiß der Hacker nicht, ob die Anmeldedaten korrekt sind oder nicht.

Wenn die nach der Anmeldung angezeigten Informationen keine Beziehung zu der Person haben, die die Login sollte für sein, dann werden die meisten Hacker schnell erkennen, dass das Login wahrscheinlich nicht das echte ist.

Um jedoch Informationen anzuzeigen, die dem Benutzer entsprechen, ist möglicherweise ein erheblicher Aufwand erforderlich. Es muss auch speziell für jeden Benutzer erstellt werden und einige echte Informationen über den Benutzer anzeigen, damit es nicht falsch aussieht, aber nicht zu viel, damit keine wichtigen Informationen verloren gehen.

Sie können nicht erwarten, dass Ihr Provider dies für Sie erledigt, aber Sie können dies in vielen Fällen selbst versuchen, d. h. ein weiteres E-Mail-Konto, ein anderes Facebook-Konto usw. hinzufügen.

Eigentlich sehe ich, wie es eingerichtet werden könnte.Sie haben kein falsches Login, sondern ein echtes, aber eingeschränktes Login.Apps und Daten sind entweder geöffnet oder eingeschränkt. Wenn Sie sich im Zwangs-Login befinden, werden nur die Dinge angezeigt, die nicht als eingeschränkt markiert sind.
@Loren das ist eine nette Idee.Die Zwangsanmeldung kann begrenzte Daten (möglicherweise einige alte Dokumente) und absichtlich fehlerhafte Apps enthalten.Zum Beispiel könnte das gefälschte Login eine Online-Banking-App haben, die echt aussieht, aber immer abstürzt.Mobile Daten könnten eingeschränkt sein ("Entschuldigung, Sie haben alle Ihre Daten für diesen Monat verwendet"), und Apps könnten dann darüber jammern, wie sie nicht funktionieren, bis sie eine Verbindung zum Internet herstellen können.
@RobertColumbia Die Taktik wäre bekannt, solche Dinge kann man nicht verwenden.Aber haben Sie die Back-App auf der eingeschränkten Liste - mit dem Zwangscode sehen Sie es einfach nicht.Solange Sie Apps für sensible Dinge verwenden, kann selbst jemand, der weiß, wie das System funktioniert, nicht erkennen, ob es sich um den Zwangscode handelt oder nicht, außer durch Rooten des Telefons.Wenn Sie es noch sicherer machen möchten, gibt es zwei Zwangscodes: Wenn der zweite verwendet wird, wird der gesamte vertrauliche Datensatz gelöscht.(Verwenden Sie den ersten für den Snoopy-Beamten, den zweiten, wenn Sie verhaftet werden.)
Das ist nicht so schwer zu erreichen: ** Bitten Sie die Benutzer **, es selbst zu tun.Wenn Sie beispielsweise ein Facebook-Konto erstellen, kann FB Sie auffordern, Ihr "Dummy-Profil" zu erstellen, falls Sie kompromittiert werden.Trotzdem denke ich, dass Hacker wissen werden, dass es sich um eine Fälschung handelt, und da dies eine bekannte Funktion für alle Benutzer ist, hat es keine Auswirkungen.
Selbst wenn der Zugriff auf offensichtlich gefälschte Daten gewährt wird, müssen diese Daten noch verarbeitet werden, um festzustellen, ob sie gefälscht sind. Dadurch dauert es länger, bis der Hacker Zugriff auf die realen Daten erhält.
Dies wäre für die Benutzer furchtbar verwirrend.Sie kennen Ihr Publikum besser.
TheWolf
2018-06-01 17:58:55 UTC
view on stackexchange narkive permalink

Das Konzept, das Sie beschreiben, heißt Plausible Deniability , und Methoden, um es bereitzustellen, wurden tatsächlich in einigen Softwareprogrammen implementiert, darunter VeraCrypt Beispiel:

Ein Problem bei der Implementierung in Websites besteht, wie Sie vorschlagen, darin, dass es für den Website-Entwickler sehr schwierig ist, gefälschte Daten zu finden, die realistisch genug sind, um einen Angreifer zu täuschen, ohne sensible Daten preiszugeben Daten über den Benutzer. In Verschlüsselungssoftware wie VeraCrypt wird diese Aufgabe auf den Benutzer verlagert, der offensichtlich in einer viel besseren Position ist, dies zu tun.

Ich denke nicht, dass dies plausible Leugnung ist.Honeypot! = Plausible Leugnung.
@forest: Die Frage ist etwas verwirrt, da sie einen Honigtopf beschreibt, aber der Anwendungsfall (Verbrecher, der eine Waffe auf den Besitzer des Telefons richtet) erfordert plausible Leugnung.Diese Antwort befasst sich mit dem Anwendungsfall.
@BenVoigt das ist immer noch nicht das, was plausible Leugnung ist
@Kevin: Genau das bedeutet der Begriff "plausible Verleugnung" im Kontext von Kryptosystemen.Neben VeraCrypt, das in dieser Antwort erwähnt wurde, siehe auch LUKS, TrueCrypt.
@Kevin, wo es um Krypotsysteme geht, bedeutet plausible Verleugnung im Wesentlichen, dass ich behaupten kann, wenn ich gezwungen bin, Zugriff auf Inhalte zu gewähren, die durch ein Passwort / eine Verschlüsselung gesichert sind, sobald ich diesen Zugang gewährt habe (geben Sie meine Kontoanmeldeinformationen ein, geben Sie ein Passwort / einen Entschlüsselungsschlüssel ein). 'Ich habe Zugriff auf die Inhalte erhalten, die ich gesichert habe, und der Gegner kann vernünftigerweise nichts anderes beweisen.Ich kann plausibel leugnen, dass die realen Daten immer noch hinter einem weiteren Schlüssel / Berechtigungsnachweis verborgen sind und dass ich tatsächlich Zugriff auf die realen Daten (oder alle verfügbaren Daten) gewährt habe.
@BenVoigt Ich habe etwas Neues gelernt.Wusste nicht, dass dieser Begriff in der Kryptographie so verwendet wurde.
Siguza
2018-06-02 09:07:44 UTC
view on stackexchange narkive permalink

Weil Hacker keine Anmeldeformulare angreifen

Der Fehler besteht darin, dass Sie davon ausgehen, dass Hacker durch brutales Erzwingen von Anmeldeinformationen für Remotedienste in Konten gelangen. Aber das ist sowieso sinnlos.

Für jede Website mit angemessener Sicherheit (diejenigen ohne angemessene Sicherheit würden sich auch nicht um Ihre Idee kümmern) wird die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzt kann in einem bestimmten Zeitraum pro IP-Adresse durchgeführt werden, normalerweise etwa 5 fehlgeschlagene Versuche alle 6 Stunden. Wenn die Sicherheit etwas höher ist, müssen Konten nach einer Reihe fehlgeschlagener Versuche möglicherweise auch vom Eigentümer bearbeitet werden, und / oder der Eigentümer wird möglicherweise über fehlgeschlagene Anmeldeversuche oder sogar über alle Anmeldungen von neuen Geräten informiert.

Also Während Brute-Force-Angriffe gegen einfache Daten (z. B. bei einem Verstoß aufgedeckte Kennwort-Hashes) durchaus möglich sind, sind sie gegen jeden Dienst mit ein wenig Sicherheit bei weitem nicht möglich.

Für Angreifer ist dies der Fall Auf diese Weise können Sie viel einfacher Phishing betreiben oder besser selbst einen echten kostenlosen Dienst einrichten und von der Annahme der Wiederverwendung von Passwörtern ausgehen:

Ja!Aus diesem Grund sollte vor allem Ihre anderen Passwörter, unabhängig von Ihrem Passwortsystem, Ihr E-Mail-Passwort IMMER eindeutig sein.
Und immer bedeuten Nicht einmal mit einem Konto eines obskuren phpBB-Forums aus dem Jahr 2001. Oder einer Android-Anwendung, die nach einem Benutzernamen / Passwort fragt, selbst wenn Sie es 5 Minuten lang verwendet haben.Oder ein alter Torrent Traker.Insbesondere bei Android-Apps, wenn eine App die E-Mail aller Gerätekonten anfordern kann, überprüfen Sie diese mit dem verwendeten Kennwort.
Sam
2018-06-02 02:45:20 UTC
view on stackexchange narkive permalink

Ich habe noch nie von einem Dienst oder Gerät gehört, das dies implementiert.

Der Fall, in dem ein Angreifer anwesend ist und Sie zur Anmeldung zwingt, ist ziemlich unwahrscheinlich. Es ist wahrscheinlicher, dass sie nur Ihr 1000-Dollar-iPhone nehmen und ausführen.

Es ist jedoch sehr plausibel, dass dies geschieht, wenn der "Angreifer" ein Sicherheitsbeamter / TSA-Beamter an einem Sicherheitskontrollpunkt am Flughafen ist. Besonders wenn Sie sich in einem fremden Land befinden. (Vor einigen Jahren gab es ein PHENOMENAL Defcon-Gespräch zu diesem Thema.)

Websites

Es wäre wahrscheinlich nicht sinnvoll, dies umzusetzen eine Website. Wenn Sie (der Administrator) sicher sind, dass jemand, der versucht, auf ein Konto zuzugreifen, ein Hacker ist, blockieren Sie ihn einfach / sperren Sie das Konto. Problem gelöst.

Wenn der Angreifer versucht, auf mehrere Konten zuzugreifen, weiß er wahrscheinlich, dass etwas faul ist, wenn er sich beim ersten oder zweiten Versuch "erfolgreich" bei mehreren Konten anmelden kann.

Telefone

Während Telefone keine gefälschten Anmeldungen zulassen (?), können Sie sie so einstellen, dass sie gesperrt werden, nachdem das Kennwort n-mal nicht korrekt eingegeben wurde.

Angreifer / TSA-Agent fordert Sie auf, das Telefon zu entsperren. Sie geben beim ersten Versuch absichtlich ein falsches Passwort ein.

"Oh, hoppla, falsches Passwort ..."

Sie geben beim zweiten Versuch erneut das falsche Passwort ein.

"Entschuldigung, meine Hände werden verschwitzt, wenn ich nervös bin ..."

Sie geben beim dritten Versuch ein falsches Passwort ein. Das Telefon ist jetzt 30 Minuten lang gesperrt!

Dies funktioniert natürlich nicht, wenn Sie das Passwort für den Angreifer rezitieren und dieser es in das Telefon eingibt. Und ich denke, die meisten Telefonsperrungen dauern nur 30 Minuten (?). Während dieser Zeit wird der Angreifer / TSA-Agent sein Bestes tun, um Sie zu "überzeugen", sich das Passwort in einem Hinterzimmer zu merken.

Laptops

Ihr Vorschlag lässt sich relativ einfach auf einem Laptop implementieren ...

Erstellen Sie zwei oder mehr Benutzerprofile.

Das erste Profil, das Sie nach sich selbst benennen (Vor- und Nachname). Sie legen ein Bild von sich als Profilbild fest. Dies wird Ihr "gefälschter" Account sein. Stellen Sie das Passwort so ein, dass es einfach und leicht zu merken ist. Fügen Sie einige "persönliche Dinge" in das Konto ein (Musik, Bilder Ihres Haustieres, "Arbeits" -Dokumente usw.).

Das zweite Konto, das Sie einem generischen Familienmitgliedsnamen geben ("Ehemann", "die Kinder" "," Honig "usw.). Behalten Sie das Standardprofilbild bei. Legen Sie ein sicheres Passwort fest. Dies ist das Konto mit Administratorrechten auf dem Laptop und das Konto, das Sie für Ihre wichtige / vertrauliche Arbeit verwenden.

Stellen Sie sich nun ein Szenario vor, in dem Sie gezwungen sind, sich anzumelden ...

Sie befinden sich auf einem Flughafen in Ozeanien und fliegen gerade nach Eurasien. Die Flughafensicherheit hält Sie auf Ihrem Weg durch das Terminal auf.

Sicherheit: "Geben Sie uns Ihren Reisepass und Ihren Laptop!"

Sie geben ihnen den Laptop und den Reisepass. Sie schalten den Laptop ein und versuchen, sich bei dem Konto anzumelden, das Sie nach sich selbst benannt haben. Sobald sie sehen, dass sie ein Passwort benötigen, fordern sie Sie auf, ihnen das Passwort mitzuteilen.

Sie: "Das Passwort lautet opensea . Keine Leerzeichen."

Der Flughafen Sicherheit Geben Sie das Passwort ein und geben Sie Ihr falsches Konto erfolgreich ein.

Nachdem Sie sich einige Minuten umgesehen und nichts gefunden haben, was sie interessiert, melden sie sich ab und versuchen, sich bei Ihrem echten Konto anzumelden.

Sicherheit: "Wessen Konto ist das? Wie lautet das Passwort?"

Sie: "Das ist das Konto meiner Kinder. Das Passwort lautet 123dogs ."

Sie geben das Passwort ein, können sich jedoch nicht anmelden.

Sicherheit: "Dieses Passwort ist falsch! Sagen Sie uns das richtige Passwort!"

Sie handeln überrascht und fragen Sie geben Ihnen den Laptop, damit Sie versuchen können, sich anzumelden. Sie geben Ihnen den Laptop und Sie geben falsche Passwörter ein.

Sie: "Diese verdammten Kinder, ich habe ihnen gesagt, sie sollen das Passwort NICHT ändern! Es tut mir leid, sie sollten nur dieses Konto verwenden für ihre dummen Videospiele! "

Die Flughafensicherheitskonferenzen miteinander und lassen Sie dann Ihren Weg gehen. Sie kehren sicher nach Eurasien zurück, ohne dass die vertraulichen Informationen auf Ihrem Laptop kompromittiert werden.

Können Sie mit der Flughafensicherheit in Ozeanien überhaupt nach Eurasien fliegen?Ich dachte, Ozeanien hat immer Krieg gegen Eurasien geführt.
Die Leute entwickeln immer cleverere technische Mittel, um eine potenzielle Anfrage zum Entsperren eines Telefons / Laptops / Datenträgers bei einer Grenz- / Flughafeninspektion zu vereiteln, aber ich sehe nicht, wie dies alles hilft.Sie können sich genauso gut weigern, ihnen Ihr Passwort zu geben.Sie könnten in Haft sein oder die Einreise verweigert bekommen, aber das könnte auch passieren, wenn Sie absichtlich versuchen, Ihr Telefon zu sperren und dumm zu spielen, hilft Ihnen das nicht.Die wirkliche Lösung besteht darin, zu vermeiden, dass empfindliches Material über die Grenze gebracht wird.
VeraCrypt ist ein Beispiel für ein Programm, das es implementiert. Sie können ein alternatives Kennwort einrichten, das nur einen gefälschten Teil der Daten aufdeckt
Im wirklichen Leben ist es jedoch viel wahrscheinlicher, dass sie die Ausrüstung beschlagnahmen und ihren forensischen Analytikern übergeben, Sie festhalten und Sie dauerhaft auf die Liste der "möglichen Terroristen" setzen, anstatt "Sie auf Ihren Weg gehen zu lassen".[Oder schlimmer.] (Https://www.xkcd.com/538/)
Ledger Nano-Kryptowährungs-Wallets unterstützen dies ebenfalls. Sie können einen Passcode für die Eingabe von Schicht 1 der Brieftasche eingeben, können jedoch eine zusätzliche Schicht 2 angeben, in der Ihre echten Schlüssel aufbewahrt werden.Auf diese Weise können Sie ein paar Dollar in Schicht 1 behalten, wenn Sie jemand gezwungen hat, sie freizuschalten.
@RobertColumbia "Ich dachte, Ozeanien hat immer Krieg gegen Eurasien geführt."Bis Ozeanien Frieden mit Eurasien schließt, haben sie immer Krieg gegen Ostasien geführt (https://en.wikipedia.org/wiki/Nations_of_Nineteen_Eighty-Four#International_relations).
Wie können Sie nach dem Anmelden bei dem gefälschten Computerkonto rechtfertigen, dass es keine Administrator- / Sudo-Berechtigungen hat?
@TripeHound Möchten Sie einen Schokoladenkeks mit Ihrem mit Muskatnuss gewürzten Victory Gin?Die Schokoladenrationen wurden gerade auf 2 mg pro Person und Jahr erhöht!Übrigens, schönes Loch, das du dort im Hinterkopf hast.
@Nemo Alle Ihre Administrator- / Sudo-Berechtigungen sind in einem "Administrator" -Konto gesperrt, von dem Sie gerne behaupten, dass Sie es völlig ignorieren."Mein Mann hat es vor Jahren eingerichtet, ich habe das Passwort nie gekannt."
Relaxed
2018-06-02 14:20:20 UTC
view on stackexchange narkive permalink

Es ist nicht genau der Kontext, an den Sie gedacht haben, aber es gibt tatsächlich Systeme, die diese Idee umgesetzt haben. Ich habe in einer (etwas sensiblen) Einrichtung gearbeitet, in der jeder Mitarbeiter zwei Codes hatte, um das Alarmsystem zu deaktivieren: den regulären und einen Zwangscode. Wenn Sie den Zwangscode verwenden, wird das System deaktiviert, um Sie nicht in Gefahr zu bringen, aber im Überwachungszentrum wird ein stiller Alarm ausgelöst. Ich lese auf Wikipedia, dass dies auch für Bankautomaten in den USA in Betracht gezogen wurde, aber letztendlich ausgeschlossen wurde.

Ein anderes ähnliches Konzept ist der „ Honeypot“. . Einige von ihnen akzeptieren möglicherweise sogar Anmeldeinformationen oder liefern Dummy-Daten, wenn sie angegriffen werden, um aufzuzeichnen, was ein Angreifer als Nächstes tut, oder um die Situation auf andere Weise auszunutzen (z. B. die Nutzlast eines Wurms zu erfassen).

Bezüglich Warum es bei Konsumgütern, Online-Diensten usw. nicht häufiger vorkommt, besteht lediglich ein Kompromiss zwischen den Vorteilen (wie wahrscheinlich ein bestimmter Angriff ist, ob er Kriminelle wirksam abschreckt oder sie nur dazu veranlasst, ihre Technik geringfügig zu ändern) und dem Kosten (komplexere Systeme zum Entwickeln, Warten und Zertifizieren - was auch eine erhöhte Angriffsfläche bedeutet, die es einem Angreifer mit einem tatsächlichen Einstiegspunkt, Bandbreite und Betriebskosten ermöglichen könnte, die Dummy-Daten für alle Botnets bereitzustellen, die ständig Onlinedienste angreifen, und sich bemüht, glaubwürdig zu werden Dummy-Daten, um anspruchsvollere Angriffe zu täuschen.

Sayan
2018-06-03 21:32:46 UTC
view on stackexchange narkive permalink

Dies wird in der Cyberwelt als "Täuschungstechnologie" bezeichnet, bei der die Lösung Cyber-Feinde (Angreifer) mit schlüsselfertigen Ködern (Fallen) täuscht, die Ihr wahres Vermögen "imitieren". Hunderte oder Tausende von Fallen können mit geringem Aufwand bereitgestellt werden, wodurch ein virtuelles Minenfeld für Cyber-Angriffe erstellt wird, das Sie mit böswilliger Intelligenz sofort auf böswillige Aktivitäten aufmerksam macht. Die Fallen enthalten Anmeldedaten, Dummy-Daten, Dummy-System usw., um den Angreifer zu täuschen, indem sie wie ein tatsächliches System andeuten.

Die Täuschungstechnologie ist eine aufstrebende Kategorie der Cybersicherheitsabwehr. Produkte der Täuschungstechnologie können Zero-Day-Angriffe (bei denen die Angriffsart / -prozedur vorher nicht bekannt ist) und fortgeschrittene Angriffe häufig in Echtzeit erkennen, analysieren und abwehren. Sie sind automatisiert, genau und bieten Einblicke in böswillige Aktivitäten in internen Netzwerken, die von anderen Arten der Cyberabwehr möglicherweise nicht gesehen werden. Die Täuschungstechnologie ermöglicht eine proaktivere Sicherheitslage, indem versucht wird, die Angreifer zu täuschen, sie zu erkennen und sie dann zu besiegen, sodass das Unternehmen zum normalen Betrieb zurückkehren kann.

Für einige Lösungsanbieter können Sie den folgenden Link verwenden: https://www.firecompass.com/blog/top-5-emerging-deception-technology-vendors-at-rsa-conference-2017/

Interessant ist auch Turris von NIC.CZ https://www.turris.cz/en/
arp
2018-06-02 10:33:47 UTC
view on stackexchange narkive permalink

Dies wurde in der Vergangenheit ziemlich erfolgreich durchgeführt, hängt jedoch stark vom System ab.

Zu einem bestimmten Zeitpunkt war es nicht ungewöhnlich, dass Websites mit kostenpflichtigem Zugriff automatisch erkannten, wann sich ein Konto von zu vielen IP-Adressen oder mit anderen verdächtigen Mustern anmeldete, und diese Benutzer zu einer Version der Website umleiteten, die in erster Linie verwendet wurde Anzeigen und Affiliate-Links zu anderen Websites. Wenn dies gut gemacht wird, könnte die Weitergabe gestohlener Anmeldeinformationen zu einem Umsatzzentrum werden.

Es gibt auch Websites, die Benutzer basierend auf der IP-Adresse oder anderen Kriterien zu verschiedenen Versionen weiterleiten. Die einfachste Version davon ist gezielte Werbung.

Für den Shell-Zugriff ist es möglich, eine Anmeldung an ein Chroot-Gefängnis zu leiten, das nur einen kleinen Teil der Festplatte und speziell bereitgestellte Binärdateien enthält, die möglicherweise nicht mit dem allgemeinen System identisch sind.

jmoreno
2018-06-02 17:16:21 UTC
view on stackexchange narkive permalink

Zunächst einmal würde ich den Angreifer in diesem Szenario nicht als Hacker bezeichnen. Ein Hacker versucht, die Sicherheit zu umgehen, die die Website bietet. In Ihrem Szenario ist es dem Angreifer egal, wie sicher Ihre Dienste sind, er kümmert sich darum, wie leicht der Benutzer eingeschüchtert wird und möglicherweise was er danach mit dem Körper tun soll. P. >

Zweitens wurden alternative Anmeldeinformationen erstellt, die Ihren Zugriff ändern. Wenn dies jedoch mehr als nur eine eingeschränkte Sicht auf die Wahrheit darstellt, ist dies eine Menge Arbeit und von begrenztem Nutzen.

Der Grund dafür ist von begrenztem Nutzen, da Ihre Benutzer davon wissen, müssen Sie davon ausgehen, dass jeder Angreifer auch davon weiß. Angenommen, Sie haben dies für eine Geldautomatenkarte getan, sodass ein Kontostand von weniger als hundert Dollar angezeigt wurde, um Ihren Verlust zu begrenzen. Entweder fragt der Angreifer nach beidem (in diesem Fall hat das Opfer bestenfalls eine 50% ige Chance, nicht mehr zu verlieren) oder nimmt einfach als Teil seiner Forderung auf, dass es mehr als das produziert - "wenn ich nicht mindestens 200 bekomme du bist tot ".

Es ist nicht völlig nutzlos, sondern nur gegen einen ignoranten Angreifer wirksam. Sich darauf zu verlassen, dass der Angreifer etwas nicht weiß, wird Sicherheit durch Dunkelheit genannt, auch bekannt als "sie haben es".

gabdev
2018-06-03 00:10:48 UTC
view on stackexchange narkive permalink

Bei Web- und Remote-Angriffen besteht, wie viele hier bereits erwähnt haben, aufgrund der Schwierigkeit, gefälschte Benutzerinhalte zu erstellen, das Problem: Woher wissen Sie, dass es sich um eine kompromittierte Anmeldung handelt?

Ich meine, wenn Sie annehmen, dass es eine verdächtige Aktivität gibt, wie einen Brute-Force-Angriff, können Sie einfach die Anmeldung für diese IP und möglicherweise für dieses Konto selbst blockieren eine Weile (bis der wirkliche Besitzer seine Identität irgendwie bestätigt)

Die einzigen nützlichen Fälle sind erzwungene Anmeldungen , das ist eine andere Geschichte und eine ziemlich spaltende Idee. Hier ist die Implementierung, die ich mir für ein soziales Netzwerk vorstelle:

  1. Der Benutzer erstellt sich selbst ein Konto mit Dummy-Daten und legt es als sein Dummy-Konto fest.
  2. Wenn eine erzwungene Anmeldung stattfindet, wie Sie jelous gf oder bf erpressen, um sich anzumelden, geben Sie das Dummy-Passwort ein und es gibt! Sie sind in Ihrem wunderschönen selbst erstellten Dummy-Konto angemeldet.
    3. ol>

    ABER Es ist auch keine perfekte Lösung. Der Angreifer würde Sie wahrscheinlich kennen und wenn es zum Beispiel Ihre verrückte Ex ist, kann sie einfach ihr Chatlog mit Ihnen überprüfen und wissen, dass Sie sich gerade auf dem falschen Konto angemeldet haben.

    Dies ist besonders relevant, da es sich um eine öffentlich bekannte Funktion der Plattform handelt, die Sie sind, sodass jeder, der Sie zwingt, überprüfen kann, ob Sie es sind oder nicht.

    Für Banken oder andere Websites ist dies eine ziemlich gute Idee.

Enerama Çevre Teknolojileri
2018-06-02 17:53:23 UTC
view on stackexchange narkive permalink

Das Problem ist, dass Ihre Benutzer darüber Bescheid wissen müssen. Daher müssen Sie davon ausgehen, dass auch jeder Angreifer davon weiß.

aks
2018-06-04 20:22:26 UTC
view on stackexchange narkive permalink

Für mich klingt das so, als würden Sie den Angreifer einladen, mit Ihnen zu tanzen.

"Hey Angreifer, Sie möchten meine Website hacken? Nun, hier ist eine gefälschte Login-Website für Sie!"

Sie möchten den Angreifer auf keinen Fall einladen, mit Ihnen zu tanzen weil er es vielleicht amüsant und herausfordernd finden könnte, was ihn noch mehr motivieren würde, zu versuchen, sich in Ihre Website zu hacken.

Diese Antwort ist Comedy Gold!


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...